REDPIXEL - stock.adobe.com
MDR-Dienste im Überblick: Wofür stehen MEDR, MNDR und MXDR?
Unternehmen, die sich für MDR-Sicherheitsdienste entscheiden, sollten sich über die verschiedenen verfügbaren Optionen im Klaren sein. Die Lösungen im Überblick.
Managed Detection and Response (MDR) ist ein zunehmend beliebtes Angebot von Software- und Dienstleistungsanbietern gleichermaßen. Die wachsende Beliebtheit hat zu einer Ausweitung der Angebote geführt. Neben MDR gibt es jetzt auch MEDR, MNDR und MXDR, um nur einige zu nennen.
Im Folgenden werden die Unterschiede zwischen diesen verwalteten Optionen erläutert und es wird untersucht, welche Unternehmensprofile sich eher für einen bestimmten MDR-Sicherheitsdienst als für einen anderen eignen.
Was ist MDR?
MDR (Managed Detection and Response) ist ein Oberbegriff, der den gesamten Bereich der MDR-Sicherheitsdienste umfasst. MDR-Dienste konzentrieren sich auf die Erkennung von Bedrohungen und Reaktionsprozesse. Sie haben bei Unternehmen, die Teile ihrer IT-Sicherheitsprogramme auslagern wollen oder müssen, an Bedeutung gewonnen. MDR-Angebote können zwar Softwareautomatisierung beinhalten, die meisten sind jedoch eine Mischung aus menschlichem Fachwissen und Technologie.
MDR-Dienste bieten im Allgemeinen die folgenden Funktionen:
- Erkennung von Bedrohungen. Sicherheitsexperten suchen proaktiv nach Bedrohungen, bevor diese zu einem Problem werden. Im Gegensatz zu einem Incident-Response-Team, das die Aufgabe hat, Warnungen von einem Security Operations Center (SOC) oder SIEM-System zu validieren, indem es die zugrunde liegende Ursache für eine Warnung untersucht, suchen Threat Hunter nach Anzeichen für eine Gefährdung oder einen Angriff, bevor eine Warnung im SOC erscheint.
- Informationen über Bedrohungen (Threat Intelligence). Informationen über Bedrohungen werden gesammelt, analysiert und verbreitet, um Teams dabei zu helfen, Cyberangriffe zu erkennen und darauf zu reagieren, bevor Schaden entsteht, oder um so schnell wie möglich wiederherzustellen.
- Automatisierte und manuelle Reaktion. Sobald eine Bedrohung erkannt wird, müssen Maßnahmen ergriffen werden, um sie zu neutralisieren. Wie der MDR-Dienst selbst kann auch die Reaktion auf menschlichem Eingreifen oder auf einer automatisierten Reaktion beruhen. Im Allgemeinen werden Aufgaben wie das Entfernen von Malware oder das Patchen automatisch erledigt, während komplexere Aufgaben - zum Beispiel die forensische Bewertung der Kompromittierung eines Endpunkts - menschliches Eingreifen erfordern.
Was bedeuten MEDR, MNDR und MXDR?
Nachfolgend haben wir die drei häufigsten Kategorien an MDR-Diensten zusammengefasst:
Managed Endpoint Detection and Response (MEDR). Der Schwerpunkt dieses Dienstes liegt speziell auf Endgeräten. Anbieter von Endpunktschutzagenten ergänzen ihr Angebot oft durch MDR speziell für ihre Software.
Managed Network Detection and Response (MNDR). Nicht alles passiert an einem Endpunkt. MNDR konzentriert sich auf die Netzwerkinfrastruktur, einschließlich Server, E-Mail, Router und Firewalls. Das Angebot umfasst MNDR vor Ort, hybrid oder vollständig in der Cloud.
Managed Extended Detection and Response (MXDR). MXDR erweitert den MDR-Schutz sowohl auf Endpunkte und Netzwerke als auch auf IoT-Geräte, betriebliche Technologienetzwerke und die Cloud. Bedrohungen werden über die Endpunkte und die Infrastruktur hinweg korreliert, und die Dienste umfassen oft direkte Unterstützung für interne SOC-Aktivitäten.
Welcher MDR-Dienst ist Passende?
Im Bereich der Sicherheit gibt es selten eine Einheitslösung, die allen gerecht wird. Stellen Sie die folgenden Fragen, um zu entscheiden, welcher Dienst für Ihr Unternehmen am besten geeignet ist:
Sind Ihre Endpunkte abgedeckt? Fernarbeit und Zero-Trust-Architektur machen deutlich, wie wichtig Endgeräte für die Gesamtsicherheit eines Unternehmens sind. Wenn Sie noch kein starkes Endpunktschutzprogramm haben, ist MEDR ein guter Anfang.
Wie steht es um Ihr SOC? Wenn Sie ein SOC eingerichtet haben, aber keine Zeit haben, alle generierten Warnungen zu verfolgen, könnte eine Erweiterung mit MEDR, MNDR oder MXDR helfen. Einer der Vorteile des Einsatzes von MDR für die SOC-Erweiterung ist die Erweiterung und Verstärkung Ihres bestehenden Teams. Diese MDR-Dienste sind vor allem dann von Bedeutung, wenn das Team sich mit der Prüfung von Warnmeldungen ausgelastet ist und keine Zeit für die aktive Bedrohungsjagd hat.
Sind Sie personell unterbesetzt? Wenn Ihr Unternehmen nicht in der Lage ist, ausreichend Sicherheitspersonal in Vollzeit zu beschäftigen, könnte MXDR die beste Lösung sein. In diesem Fall arbeitet ein MXDR-Team mit Ihrem internen oder ausgelagerten Betriebsteam zusammen, um kontinuierlich nach Bedrohungen zu suchen, Angriffe zu überwachen und bei Bedarf zu reagieren.
Managed Detection and Response (MDR) ist ein zunehmend beliebtes Angebot von Software- und Dienstleistungsanbietern gleichermaßen. Die wachsende Beliebtheit hat zu einer Ausweitung der Angebote geführt. Neben MDR gibt es jetzt auch MEDR, MNDR und MXDR, um nur einige zu nennen.
Im Folgenden werden die Unterschiede zwischen diesen verwalteten Optionen erläutert und es wird untersucht, welche Unternehmensprofile sich eher für einen bestimmten MDR-Sicherheitsdienst als für einen anderen eignen.
Was ist MDR?
MDR (Managed Detection and Response) ist ein Oberbegriff, der den gesamten Bereich der MDR-Sicherheitsdienste umfasst. MDR-Dienste konzentrieren sich auf die Erkennung von Bedrohungen und Reaktionsprozesse. Sie haben bei Unternehmen, die Teile ihrer IT-Sicherheitsprogramme auslagern wollen oder müssen, an Bedeutung gewonnen. MDR-Angebote können zwar Softwareautomatisierung beinhalten, die meisten sind jedoch eine Mischung aus menschlichem Fachwissen und Technologie.
MDR-Dienste bieten im Allgemeinen die folgenden Funktionen:
- Erkennung von Bedrohungen. Sicherheitsexperten suchen proaktiv nach Bedrohungen, bevor diese zu einem Problem werden. Im Gegensatz zu einem Incident-Response-Team, das die Aufgabe hat, Warnungen von einem Security Operations Center (SOC) oder SIEM-System zu validieren, indem es die zugrunde liegende Ursache für eine Warnung untersucht, suchen Threat Hunter nach Anzeichen für eine Gefährdung oder einen Angriff, bevor eine Warnung im SOC erscheint.
- Informationen über Bedrohungen (Threat Intelligence). Informationen über Bedrohungen werden gesammelt, analysiert und verbreitet, um Teams dabei zu helfen, Cyberangriffe zu erkennen und darauf zu reagieren, bevor Schaden entsteht, oder um so schnell wie möglich wiederherzustellen.
- Automatisierte und manuelle Reaktion. Sobald eine Bedrohung erkannt wird, müssen Maßnahmen ergriffen werden, um sie zu neutralisieren. Wie der MDR-Dienst selbst kann auch die Reaktion auf menschlichem Eingreifen oder auf einer automatisierten Reaktion beruhen. Im Allgemeinen werden Aufgaben wie das Entfernen von Malware oder das Patchen automatisch erledigt, während komplexere Aufgaben - zum Beispiel die forensische Bewertung der Kompromittierung eines Endpunkts - menschliches Eingreifen erfordern.
Was bedeuten MEDR, MNDR und MXDR?
Nachfolgend haben wir die drei häufigsten Kategorien an MDR-Diensten zusammengefasst:
Managed Endpoint Detection and Response (MEDR). Der Schwerpunkt dieses Dienstes liegt speziell auf Endgeräten. Anbieter von Endpunktschutzagenten ergänzen ihr Angebot oft durch MDR speziell für ihre Software.
Managed Network Detection and Response (MNDR). Nicht alles passiert an einem Endpunkt. MNDR konzentriert sich auf die Netzwerkinfrastruktur, einschließlich Server, E-Mail, Router und Firewalls. Das Angebot umfasst MNDR vor Ort, hybrid oder vollständig in der Cloud.
Managed Extended Detection and Response (MXDR). MXDR erweitert den MDR-Schutz sowohl auf Endpunkte und Netzwerke als auch auf IoT-Geräte, betriebliche Technologienetzwerke und die Cloud. Bedrohungen werden über die Endpunkte und die Infrastruktur hinweg korreliert, und die Dienste umfassen oft direkte Unterstützung für interne SOC-Aktivitäten.
Welcher MDR-Dienst ist Passende?
Im Bereich der Sicherheit gibt es selten eine Einheitslösung, die allen gerecht wird. Stellen Sie die folgenden Fragen, um zu entscheiden, welcher Dienst für Ihr Unternehmen am besten geeignet ist:
Sind Ihre Endpunkte abgedeckt? Fernarbeit und Zero-Trust-Architektur machen deutlich, wie wichtig Endgeräte für die Gesamtsicherheit eines Unternehmens sind. Wenn Sie noch kein starkes Endpunktschutzprogramm haben, ist MEDR ein guter Anfang.
Wie steht es um Ihr SOC? Wenn Sie ein SOC eingerichtet haben, aber keine Zeit haben, alle generierten Warnungen zu verfolgen, könnte eine Erweiterung mit MEDR, MNDR oder MXDR helfen. Einer der Vorteile des Einsatzes von MDR für die SOC-Erweiterung ist die Erweiterung und Verstärkung Ihres bestehenden Teams. Diese MDR-Dienste sind vor allem dann von Bedeutung, wenn das Team sich mit der Prüfung von Warnmeldungen ausgelastet ist und keine Zeit für die aktive Bedrohungsjagd hat.
Sind Sie personell unterbesetzt? Wenn Ihr Unternehmen nicht in der Lage ist, Sicherheitspersonal in Vollzeit zu beschäftigen, könnte MXDR die beste Lösung sein. In diesem Fall arbeitet ein MXDR-Team mit Ihrem internen oder ausgelagerten Betriebsteam zusammen, um kontinuierlich nach Bedrohungen zu suchen, Angriffe zu überwachen und bei Bedarf zu reagieren.
